wollibn
Goto Top

Zwei Segmente mit eigene Internet-Router verbinden

Hallo!

Habe hier in der Wg zwei LANs die jeweils einen Router mit Internetzugang haben.
Wir möchten diese beiden LANs miteinander verbinden aber die Nutzer von LAN-A sollen auch nur über Router-A ins Internet gehen und umgekehrt die Nutzer von LAN-B nur über Router-B.

LAN-A: 192.168.0.0/24
Router-A: 192.168.0.1

LAN-B: 192.168.1.0/24
Router-B: 192.168.1.1

Ich habe jetzt in einen WXP-PRO-PC einen zweiten NIC eingebaut und dann so konfiguriert:
NIC-A: 192.168.0.200
NIC-B: 192.168.1.200
Routing und RAS-Dienst gestartet
Routing in der Registry aktiviert (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\IPEnableRouter=1)

Dennoch kann ich nicht mit einem Rechner aus LAN-B den Router-A anpingen.

Was muss ich noch konfigurieren?

Gruß,
Wolfgang

Content-ID: 32821

Url: https://administrator.de/forum/zwei-segmente-mit-eigene-internet-router-verbinden-32821.html

Ausgedruckt am: 23.12.2024 um 17:12 Uhr

prob
prob 19.05.2006 um 08:21:58 Uhr
Goto Top
Dein Rechner aus dem LAN-B weiß noch nicht, dass er den Ping an Router-A an 192.168.1.200 schicken muss (Gatewa auf den PCs eintragen).

Das gleiche würde für den Rückweg gelten. Der Router A müsste wissen, dass er das Netz 192.168.1.0/24 über 192.168.0.200 erreichen kann.

Genau das würde ich aber dem Router auch nicht sagen, denn dadurch ist gesichert, dass Nutzer in LAN B den Router A nicht nutzen können.

Die PC musst du einrichten mit jeweils dem Router des Netzes als Standardgateway und einer statischen Route ins andere Netz.

im Netz A auf jedem PC:
route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.0.200
Atti58
Atti58 19.05.2006 um 09:00:36 Uhr
Goto Top
.
.
Genau das würde ich aber dem Router
auch nicht sagen, denn dadurch ist
gesichert, dass Nutzer in LAN B den Router A
nicht nutzen können.
.
.

Das kann ich nicht ganz nachvollziehen, wenn das Standardgateway in beiden Netzen ihr eigener Router ist, wird auch der Verkehr in alle "öffentlichen IP-Bereiche" über diesen Router geregelt.

Damit sich die beiden Netze untereinander sehen, muss auf beiden Routern das jeweils andere Netz als "statische Route" eingetragen werden, das soll's eigentlich schon gewesen sein,

Gruß

Atti.
prob
prob 19.05.2006 um 09:07:32 Uhr
Goto Top
und was ist mit "bösen" Nutzern, die ihr Standardgateway umbiegen?
Atti58
Atti58 19.05.2006 um 11:06:00 Uhr
Goto Top
... denen unterbindet man mit geeigneter Rechtevergabe oder per Richtlinie diese Möglichkeit - wie wäre das denn bei Deiner vorgeschlagenen Lösung anders?

Gruß

Atti
prob
prob 19.05.2006 um 13:05:09 Uhr
Goto Top
die Pakete kommen vom Router nicht zurück
Atti58
Atti58 19.05.2006 um 15:59:52 Uhr
Goto Top
... man sollte sich doch immer eine Skizze machen ...

e099bdf807ca812a21dad9590dbecf4a-routingproblem1

Die Router haben nämlich gar nichts mit dem Problem zu tun, wie man hier deutlich erkennen kann,

Gruß

Atti
aqui
aqui 19.05.2006 um 22:50:59 Uhr
Goto Top
Dies wäre aber dann die umständliche Variante der Lösung !
Viel einfacher ist es die Netzwerke auf den ROUTERN einzutragen !! (Dafür heissen sie ja auch "Router" !)
Das erspart dir das umständliche "Anfassen" aller WG Rechner um darauf eine Route zu konfigurieren. Das sollte man eigentlich auch tunlichst NICHT auf den Endgeräten machen !
D.h. Router A bekommt eine statische Route auf Netzwerk B mit der next Hop Adresse auf den Verbindungs-PC analog dazu bekommt Router B eine statische Route auf das Netzwerk A mit der IP Adresse des Verbindungs-PC in seinem Segement.
Also also anhand deines Beispiels:

Router A: network 192.168.1.0 mask 255.255.255.0 gateway 192.168.0.200

Router B: network 192.168.0.0 mask 255.255.255.0 gateway 192.168.1.200

Einzustellen ist das in der "statische Routing" Sektion deiner Internet Router meist über ein vorhandenes GUI.
Damit hat sich dann auch gleich das Problem der "bösen Standardgatewayverbieger" gelöst sofern du in deinem Verbindungs-PC der hier natürlich auch ein Router ist KEIN Standard Gateway eingetragen hast !
Musst du dies aber tun damit der auch ins Internet sei es über die A oder B Seite kann, solltest du dich für einen der Router A oder B entscheiden. Dann allerdings werden die "bösen Standardgatewayverbieger" natürlich auch immer auf diesen Router geroutet.
Das allerdings liesse sich dann auch noch unterbinden wenn du deinen Routern jeweils Accesslisten aufs Ethernetinterface legst die jeweils das andere Netz verbieten. Damit ist die Lösung dann "wasserdicht" !!!

Einen unschönen Nachteil hat die Geschichte noch:
Damit du mit beiden Netzen kommunizieren kannst MUSS immer dein XP PC laufen sonst ist nix mit Quake spielen, untereinader Bilder ansehen o.ä.
Ich würde da als Alternative einen 1 Diskettenrouter vorziehen wenn du noch ein olles Mainboard in der Ecke liegen hast. Ein oller uralt Pentium oder AMD mit 64 MB und 3,5 Zoll Diskilaufwerk genügt vollends dafür. Meist gibt es sowas auch für ein paar Euronen auf dem Flohmarkt oder man hats eh noch in der Bastelkiste.
2 mal 5 Euro Realtek Netzwerkkarten rein oder was aus der Bastelkiste und hier die SW runtergeladen:

http://www.fli4l.de/

Und schon ist ein lüfterloser Router ohne Platte fertig der auch tagelang durchlaufen kann ohne die ganze WG (oder dich abends beim Einschlafen..) nervt face-wink
Atti58
Atti58 19.05.2006 um 23:15:40 Uhr
Goto Top
Dies wäre aber dann die
umständliche Variante der Lösung
!


... na ja, je nachdem, wie man das Ganze dann realisiert ... trägt man auf bestimmten Clients auch nur bestimmte Client-Routen ein, hat der kleine Bruder keinen Zugriff auf den Rechner des "Chefs", z.B. auf Client 192.168.1.2 der Eintrag

route add -p 192.168.0.4 mask 255.255.255.255 192.168.1.200

und auf Client 192.168.0.4 die statische Route

route add -p 192.168.1.2 mask 255.255.255.255 192.168.0.200

verbindet nur diese beiden Rechner miteinander.

Gruß

Atti
aqui
aqui 19.05.2006 um 23:23:09 Uhr
Goto Top
Oha, der arme wolibn muss dann aber eine Sisiphusarbeit erledigen wollte er all das berücksichtigen, da müsste er ja noch mehr Routen auf den einzelnen Clients eintragen. Im Grunde genommen ist das eine Accessliste mit Routen realisiert. Nicht falsch aber m.E. der falsche Weg.
Sicherer ist das, keine Frage aber hier sollte man die alte Regel: "Keep it simple stupid" gelten lassen und lieber den FWs der PCs vertrauen und den Weg des klassischen IP Routings beschreiten. Seine MitWGler werdens ihm danken bevor er alle ihre Rechner IP routingtechnisch verbiegt....
Es führen aber wie gesagt immer mehrere Wege nach Rom. Die Routerkonfiguration führt mit am wenigsten Aufwand zum Erfolg face-smile
Atti58
Atti58 19.05.2006 um 23:30:57 Uhr
Goto Top
@aqui

... nun, für einen Gegner von Desktop-Firewalls wie mich face-wink ist das wohl der "normale" Weg - und wir reden hier ja nicht von einer sauber konfigurierbaren Firewall mit DMZ ...

Gruß

Atti
wollibn
wollibn 23.05.2006 um 06:55:35 Uhr
Goto Top
Guten Morgen!

Vielen Dank für alle nützlichen Hinweise, Tipps und Anleitungen!!

Ich habe es jetzt über statische Routen auf den beiden Routern gelöst und es funktioniert einwandfrei! face-smile
Die Gateway-Verbieger kann ich hier in den zwei Netzen wohl vernachlässigen und ich glaube es ließe sich wohl nicht verhindern da es alles private Rechner sind und daher mit Richtlinien nichts zu machen ist.

Über die Variante von aqui mit dem Diskettenrouter werde ich nochmal nachdenken, ist bestimmt eine nette Sache mit einem gewissen Mehrwert.

Danke auch für das Netzwerkdiagramm an Atti58! (Womit hast du das gezeichnet?)

Gruß,
Wolfgang
Atti58
Atti58 23.05.2006 um 08:48:19 Uhr
Goto Top
Hallo Wolfgang,

so ganz kann ich Deine Lösung dann doch nicht nachvollziehen face-wink ...

Du sagst, Du hast das ganze mit statischen Routen gelöst, das heißt ja dann wohl, Du hast auf Router 192.168.1.1 die Route:

route 192.168.0.0 mask 255.255.255.0 192.168.1.200

und auf Router 192.168.0.1

route 192.168.1.0 mask 255.255.255.0 192.168.0.200

eingetragen. Das bedeutet folglich, dass Anfragen für Fremdnetze generell an die Router gesendet werden und diese senden sie dann an den "XP-Rechner"-Router zurück. Das erhöht natürlich ein klein wenig den Netzwerktraffic, aber das sollte wohl kein Problem darstellen.

Gruß

Atti

PS Die Grafik ist mit MS Visio erstellt worden, eine kostenlose Variante eines Flowcharters gibt es hier: http://www.gnome.org/projects/dia/
wollibn
wollibn 23.05.2006 um 11:41:52 Uhr
Goto Top
Ja, Atti58, so habe ich es gemacht.

Was wäre denn die Netzlast sparende Lösung?
Atti58
Atti58 23.05.2006 um 13:38:15 Uhr
Goto Top
... na ja, ich dachte, Du hättest die Grafik "gelesen" face-wink ... Dort ist doch angegeben, welche Routen auf den Clients im jeweiligen Netz einzutragen gewesen wären ... der Passus mit::

route add -p 192.168.1.0 mask 255.255.255.0 192.168.0.200

bzw.

route add -p 192.168.0.0 mask 255.255.255.0 192.168.1.200

Wenn Du dieses Kommando auf allen Clients im jeweligen Netz in der Eingabeaufforderung eingibst, änderst Du die Routingtabelle ("route print"), dann gehen alle Pakete direkt and den Windows-XP-Router und somit in's andere Netz. Du kannst ja mal mit einem "tracert [IP_Adresse]" (in der Grafik z.B. auf Workstation C: tracert 192.168.1.4) den Weg Deiner Pakete verfolgen ...

Gruß

Atti
wollibn
wollibn 23.05.2006 um 14:01:35 Uhr
Goto Top
Ahh, ok.

Wir haben hier in jedem Netz 10 Rechner, ich denke dass es hier zu keinen größeren Problemen kommt, oder?

Ich will vermeiden die Route auf jedem Rechner zu konfigurieren. Da ich wenig Plan von routing habe und die anderen keine würde es darauf hinauslaufen das ich hier rumrennen würde und konfigurieren dürfte.

Gruß,
Wolfgang
aqui
aqui 24.05.2006 um 11:56:13 Uhr
Goto Top
@Atti

Atti deine Annahme ist falsch das aller Traffic über den XP Rechner geht ! Die statischen Routen bewirken lediglich das ausschliesslich der Traffic für die Netze 192.168..0.0 bzw. 192.168.1.0 über den XP Rechner gehen ! Für alles andere gilt ja die default Route in den Routern selber, die ins Internet zeigt !
Ausserdem geht sowieso auch dann nicht der gesamte lokale Traffic über den Router sondern lediglich das allererste Packet. Der Router schickt ein ICMP redirect Packet (Typ 5) an das Endgerät das ihm sagt das Gateway ist der XP Rechner. Der Grund für das ICMP Packet ist das er merkt das das Gateway zu diesem Netz im eigenen Subnetz liegt und ein sinnloser Hop dazwischenliegt.
Wie gesagt das Routing gilt lediglich nur für die beiden lokalen 192.168er Netze. Daraufhin (dem Redirect...) sendet das Endgerät in den jeweiligen Segmenten die Packete für das jeweils andere lokale Netz direkt an die XP Maschine ohne zusätzlichen Hop. Genau dafür gibt es den ICMP Typ 5 (redirect) um überflüssigen Traffic über zusätzliche Hops zu vermeiden !
Ein "route print" in der DOS Box zeigt dann diesen automatischen redirect mit dem entsprechenden Gateway Eintrag an.
So wie es derzeit konfiguriert ist sollte eine klassische Routing Lösung auch aussehen.
So gesehen hat "wollibn" mit der derzeitigen Konfig alles richtig gemacht. Wenn er jetzt noch den fli4l dazwischennimmt als Router hat er die XP Maschine wieder für sich und darf sie auch abschalten wenn er Lust hat face-smile
Atti58
Atti58 24.05.2006 um 13:08:42 Uhr
Goto Top
@aqui

... den Internetverkehr habe ich mit "fremden Netzen" natürlich nicht gemeint, dass dieser weiterhin über den Router geht, war ja eine Grundvoraussetzung in der Fragestellung ...

Gruß

Atti
aqui
aqui 26.05.2006 um 23:11:14 Uhr
Goto Top
Ist ok, aber wie gesagt der Traffic der "fremden Netze" geht durch die ICMP Redirects auch nicht permanent über die Router sondern nach dem ersten Packet dann generell direkt an den "XP (...oder fli4l) Router".
Der zentrale Routing Eintrag an den Routern ist m.E. die beste Lösung dieser problematik, denn Router sollen ja routen und nicht die Endgeräte sprich PCs face-wink